ธนาคารไทยพาณิชย์ใช้ข้อมูลใน URL ตรวจสอบผู้ใช้ในเว็บ EasyFund ผู้ใช้ทุกคนควรระวังทำประวัติเว็บรั่วไหล
มีรายงานในห้องสินธรเว็บ Pantip.com ว่าบริการ EasyFund ของธนาคารไทยพาณิชย์ว่านั้นส่งข้อมูลสำคัญหลายอย่างไปกับ URL ที่อยู่ใน iframe ของเว็บธนาคาร ทำให้เมื่อลิงก์เหล่านี้หลุดออกสู่ภายนอก ผู้ที่รู้ค่าพารามิเตอร์ที่ถูกต้องจะสามารถเข้าใช้งานเว็บได้เสมือนเจ้าของบัญชี
ปรกติแล้วเว็บในส่วนของ EasyFund จะถูกรวมอยู่กับเว็บ SCB Easy ภายใต้ iframe ทำให้เบราเซอร์มองไม่เห็น URL จริงๆ แต่หากใครสามารถดึง URL เหล่านั้นออกมาได้ จะพบว่ามีค่าหลายอย่างเช่นหมายเลขบัญชี, หมายเลขผู้ใช้, ตลอดจนหมายเลขประจำ session ซึ่งโดยปรกติแล้วค่าเหล่านี้ควรถูกเก็บไว้กับ cookie มากกว่าที่จะส่งไปมากับ URL เช่นนี้
ผู้ใช้ชื่อว่า pjuk (คาดว่าเกี่ยวข้องกับการพัฒนา) ออกมาระบุว่า URL เหล่านี้จะใช้ไม่ได้หากผู้ใช้ได้ logout อย่างถูกต้องแล้ว และแม้จะเข้าใช้งานได้ แต่การซื้อขายก็ไม่สามารถทำจนสำเร็จได้
อันตรายของช่องโหว่นี้คือ URL เหล่านี้จะถูกบันทึกไว้ในประวัติการใช้งานของเบราเซอร์ ระหว่างที่ทางธนาคารยังไม่แก้ไข ผู้ใช้ทุกคนควรระวังไม่ใช้งาน SCB Easy ด้วยเครื่องสาธารณะ เพื่อป้องกัน URL เหล่านี้รั่วไหลออกไปจากเครื่อง และกด logout ทุกครั้งที่เลิกใช้งาน ในส่วนของการดักฟังนั้นไม่น่ากังวลนักเนื่องจากการเชื่อมต่อเข้ารหัสทั้งหมด การดักฟังหากไม่มีการปลอมแปลงใบรับรอง SSL แฮกเกอร์ก็ไม่สามารถรู้ URL ได้
ที่มา - Pantip.com
Get latest news from Blognone
Follow @twitterapi
Comments
รอแถลงการณ์
เออ... เค้าคิดยังไงถึงใช้วิธีนี้... ส่งไปกะ url เนี่ยนะ...
dev ฝึกหัดมั้งครับ -.-' ต่อไปอาจต้องจ้างแฮคเกอร์สักคนไว้ตรวจงาน
ถึง dev จะฝึกหัด แต่ระบบใหญ่ขนาดนี้จะต้องมี SA เน่อ
... เหอะๆ
WebApp ของธนาคารส่วนใหญ่ถูกส่งต่อกันแบบทาญาติอสูร มันผ่านมือมาเยอะ จึงมีหลุดไปเยอะเช่นกันซึ่งบางครั้งการแก้ไข Source Code เพื่อให้เข้าสู่มาตราฐาน มันวุ่นวายและอาจทำให้งานเพิ่มงานงอก อีกเยอะแยะมากมาย ถ้าไม่มีเจ้าภาพ Programmer หรือ SA ที่ได้รับมรดกมาก็ต้องต่อยอดของเดิม ซึ่งมันอาจเละอยู่แล้ว เพื่อให้มันใช้งานได้ตามความต้องการใหม่ๆ ที่ธนาคารต้องการ
+1 พูดยังกับทำงานธนาคารแนะ
เว็บธนาคารบางแห่ง ที่หลายท่านใช้อยู่ตอนนี้อาจผ่านขี้มือผมมาแล้วก็ได้ เย้ย.. ผ่านมือผมมาแล้วก็ได้
SA ในไทยส่วนใหญ่ไม่ Geek นะครับ (ไม่รู้ทำไม - -?)
ไม่โปรแต่เน้น seniority ครับ (โคตรเพลีย)
+๙๙๙
ถ้างั้น SA ก็ควรรู้ตัวนะครับว่าทำอะไรลงไป
ประมาณนั้นเอาคนไม่รู้เรื่องมาออกแบบระบบ
ประโยครองสุดท้าย ดักฟักน่าจะเป็นดักฟังเปล่าฮับ...
อุ่ย - -'
lewcpe.com, @wasonliw
ติดเรทขึ้นกระทันหัน 55
เพิ่มอีกที่ครับ
ผมคิดว่า เวปของธนาคารและโปรดักท์การเงินหลาย ๆ ตัวน่าจะทำพลาดแบบนี้เหมือนกันนะครับ
... คิดว่าใช้ HTTPS แล้วจะส่ง Parameter ผ่าน Get Method ไปโดยที่คิดว่ามัน Secure พอแล้ว 55
https มันน่าจะกันพวก man in the middle นะคับ ส่วน GET หรือ POST ไม่ต่างหรอกครับ tool ง่ายๆอย่าง firebug หรือ f12 ของ chrome และ ie ก็เปิดได้ทั้ง 2อย่าง ทางที่ดีก็ encrypt ค่า parameter ต่างๆที่ทำให้เข้าใจได้ยาก แล้วใช้ csrf ป้องกันอีกทีนึง
พี่จุก(pjuk) นี่เป็นนักพัฒนาของ SCB เหรอครับ
อ่านโพสพี่แกมาหลายเดือนนึกว่าเป็นเจ้าหน้าธนาึารด้านการลงทุนอะไรสักอย่าง -..-
ไม่ทราบครับ แต่เห็นมาตอบแทน เลยคาดว่าจะเกี่ยวข้องทางใดทางหนึ่ง
lewcpe.com, @wasonliw
พี่จุกแก ไม่อาจทราบได้ว่ามีตำแหน่งอะไร แต่จับฉ่ายมาก ใช้ความรู้ด้านการลงทุน แก้ปัญหาให้ user ได้สารพัด
แกเหมือนเป็นคอลเซนเตอร์ แบบที่ห้องมาบุญครองมี call center ของพวก AIS True Dtac มาตอบมาคอยแก้ปัญหาให้อะครับแทบจะ24ชั่วโมงเลยด้วย มีหลายยี่ห้อทำเหมือนกันนะ ที่เคยเห็นก็รถฟอร์ด ห้างสรพพสินค้าเซนทรัล พวกนี้มีคอลเซนเตอร์ในเว็บพันทิปด้วย สงสัยพี่จุกแกคงไปถามพวกเจ้าหน้าที่ที่เกี่ยวข้องแล้วจึงมาตอบด้วยครับ ผมก็เห็นแกโพสตอบปัญหาของธนาคารนี้ตลอดเหมือนกัน
ตั้งแต่การตั้งพาสเวิร์ดปกติผมตั้ง13หลักขึ้นไป(สำหรับอีแบงค์กิ้ง) แต่ขอธนาคารไทยพานิชย์ ไม่ยอมให้ตั้งยาวขนาดนั้น
+1 นั่นสิให้แค่ 8 ตัวเองตั้งรหัสได้ไม่ถูกในเลย
เผลอที่ไม่ได้ใช้ SSL?
my blog
เจ้าของกระทู้นั้นคือ @icez Orz
แหม ทำไปได้
กรรมแล้ว ต้องมีจดหมายเปิดผลึกไปให้ SCB และทำการแก้ไขด้วยนะแบบนี้ไม่ดีเลย
อ่านแล้วนึกถึงบริษัทผม ที่โปรแกรมเมอร์คนเก่าเก็บ connection string ไว้ใน cookie :)
เห็นภาพประกอบข่าวแล้ว เหมาะกะหัวข้อข่าวมากครับ
ไปด้วยกัน ไปได้ไกล ติดไปกะURLกันเลยทีเดียว
มุขนี้ +1
"With the first link, the chain is forged. The first speech censured, the first thought forbidden, the first freedom denied, chains us all irrevocably."
คุ้นๆ ว่า scbeasy มี consultant ด้าน security เลยนี่ .... ป้องกันแม้กระทั่งการคลิกขวา แต่ดันลืมป้องกันเรื่องพื้นๆ แบบนี้
คลิกขวา ป้องกันทำไมครับไม่เข้าใจ
ถ้าใช้ FireFox พอโหลดหน้านั้นเสร็จ ก็เข้าไปปิด JavaScript ก็คลิกขวา ได้แล้ว
ป้องกันการคลิกขวาเป็นอะไรที่แบบ ไม่ไหวสุดๆเลยคับ เอาเป็นว่า PayPal เขาก็ไม่ได้ป้องกันการคลิกขวา
เว็บธนาคารในไทบแทบทุกเจ้าผมเห็นแล้วสิ้นหวังสุดๆ
ถ้าใช้โครมกดนี่นิดนั่นหน่อย ก็ปิดการใช้ JS ได้แล้วละครับ - -
ผมใช้ InPrivate Browsing ตลอดเวลาเข้าหน้าพวกนั้น ช่วยได้ไหมครับ?
อยากรู้ด้วยคนครับ
คนขี้ลืม | คนบ้าเกม | คนเหงาๆ
ช่วยได้ระดับนึงครับ แต่ต้องระวังการ copy link หลุดออกมาอย่างที่ในกระทู้บอกไว้ครับ
(โดยเฉพาะการ copy ลง word หรือ field ที่รองรับ rich text format)
แต่ถ้าเกิดโดนใครแอบฝังโปรแกรมดักในเครื่องก็ไม่ได้ช่วยอะไรเลย
น่าจะได้ครับ ถ้าจำไม่ผิด incognito mode ของ Chrome จะไม่เก็บ history เมื่อทำการปิดโหมดนั้นแล้ว
น่าจะช่วยได้ครับ เพราะหลังจากปิด Browser หรือปิดโหมดนี้ไปแล้ว Session ทุกอย่างที่เคยใช้งาน รวมไปถึง Cookie ไม่เว่นแม้กระทั่ง Clipboard จะหายไปหมดครับ
อันตรายแค่ ถ้ามีคนเปิด History ของ Browser แล้ว Session ยังไม่หมดอายุก็จะเข้าไปใช้งานได้ (แต่ก็จะสั่งซื้อขายไม่ได้)
ส่วน Man In The Middle ดักไปใช้หมดปัญหาเพราะเป็น HTTPS
ถ้าเล่นร้านเน็ตใช้ Private Browsing // InPrivate Browsing // Incognito ก็ปลอดภัยแล้ว
หรือ Clear History / Cookie ก็ได้
/* ยกเว้นโดน Key Logger */
keylogger เครื่องไหนในโลกก็ไม่ปลอดภัย -__-'''''
พอจะมีวิธีหลบ key logger ครับ ผมเคยเอาโปรแกรมพวกนี้มาลองดู
พบว่าการหลบคือ อย่าพิมพ์ password ตรง ๆ ให้พิมพ์อ้อม ๆ
เช่น password คือ Pa$$w0rd
ก็ให้พิมพ์ w0rd แล้วเอา mouse จิ้มข้างหน้า เติม $$ แล้วจิ้มข้างหน้า เติม Pa เข้าไป
อาจจะพิมพ์เกินแล้วลบบางตัวออกก็ได้ พูดง่าย ๆ ก็คือทำยังไงก็ได้ ให้ไม่พิมพ์ pass ลงไปตรง ๆ
แบบนี้ key logger จะได้แต่ sequence ที่พิมพ์ไป
น่าจะพอช่วยได้ยามฉุกเฉิน
ถ้าแบบนั้นใช้ on-screen keyboard ก็ได้ครับ ใน windows น่าจะมีอยู่แล้ว ใช้เมาส์คลิกๆเอา ยกเว้นว่าจะขนาดแอบเก็บภาพเคลื่อนไหวเลย ก็คงกันไม่ได้แล้วล่ะ
ผมว่า SSL Strip ก็ไม่น่ารอดแล้วมั้ง เฮอๆๆ
ในฐานะ User SCBEASY.com รู้สึกว่า ไม่ค่อยสบายใจ กับการใช้งานธนาคารออนไลน์เท่าไรเลย แต่ก็จำเป็นต้องใช้ ดีที่ แจ้งปปช.ไป 50 ล้าน (ที่เหลือเก็บไว้บ้าน หุหุ)